22:27
17/6/2014

Jeden naszych czytelników, Michał, zwrócił uwagę na sprzedawany na internetowych aukcjach smartphon STAR N9500 z Androidem. Urządzenie to kusi niską ceną i atrakcyjnym wyglądem (łudząco przypomina popularny model smartphona Samsunga Galaxy S4). Ale ma jeden feler — wbudowane w siebie złośliwe oprogramowanie, które w znacznym stopniu zagraża bezpieczeństwu użytkownika. Jeśli korzystacie z tego modelu telefonu, natychmiast przestańcie — oto co wam grozi…

Telefon STAR N9500

Telefon STAR N9500

Smarfton STAR N9500 — zagrożenie prosto od chińskich przestępców?

Jako pierwsi, chińskie smartfony STAR N9500 pod lupę wzięli pracownicy G DATA Software. Jak sami zaznaczają, jest to dla nich pierwszy przypadek smartphona, który prosto z fabryki jest wysyłane z wbudowanym w firmware złośliwym oprogramowaniem.

Tu musimy jednak podkreślić, że nie jest to jednak pierwszy przypadek fabrycznie zainfekowanej elektroniki — na naszych łamach pisaliśmy już kilka lat temu o fabrycznie zainfekowanych ładowarkach do baterii oraz aparatach marki Olympus.

Telefony STAR N9500

Telefon STAR N9500

Co robi STAR N9500 w tle?

Ukrywający się w urządzeniu trojan Android.Trojan.Uupay.D i podszywa się pod aplikację Google Play Store. Trojan jest wbudowany w firmware, co oznacza, że nie da się go odinstalować, a wszystkie działania odbywają się w tle, dzięki czemu są praktycznie niezauważalne dla użytkownika. Złośliwe oprogramowanie wykrada i przesyła na serwery w Chinach znajdujące się pod kontrolą przestępców takie dane jak:

  • Informacje osobiste o użytkowniku,
  • Prowadzone rozmowy,
  • Dane dotyczące transakcji płatniczych na kontach bankowych (m.in. dane logowania),
  • Przesyłane wiadomości SMS i e-mail,
  • Obraz z wbudowanej kamerki,
  • Dźwięk z wbudowanego mikrofonu,

Dodatkowo, trojan jest w stanie blokować aktualizacje bezpieczeństwa dla Androida, usuwać logi swojej działalności, a także skutecznie blokować próby dezaktywacji/usunięcia go z systemu. Trojan, pozwala także przestępcom na sekretne instalowanie złośliwych aplikacji, które umożliwią na przeprowadzanie dodatkowych ataków prowadzących np. do wykradania środków właściciela telefonu przez wysyłaniem SMS’ów PREMIUM.

b10afecb2e

STAR N9500 jest do kupienia w Polsce…

STAR N9500, który z wyglądu może przypominać egzemplarze innych urządzeń mobilnych czołowych producentów dystrybuowany jest na terenie całej Europy w “atrakcyjnych” cenach (od 130 do 165 EUR). W Polsce w atrakcyjnej cenie, bo za ok. 500 PLN można zakupić go na Allegro.

N9500_allegro

Oczywiście w opisie aukcji nie ma ani słowa o złośliwych funkcjach tego telefonu ;) Postanowiliśmy się skontaktować ze sprzedawcą i zapytać, czy wie o zagrożeniu. Oto przesłane przez nas pytania i odpowiedzi sprzedawcy:

Niebepiecznik: Czy oferowane przez Państwa smartfony N9500, pochodzą prosto z fabryki producenta “STAR”?Czy mają Państwo świadomość o bardzo poważnych zagrożeniach bezpieczeństwa dla użytkowników oferowanych w aukcji, modeli smartfonów STAR N9500? Jak dużo modeli STAR N9500 zostało już sprzedanych w Polsce oraz, czy na wskutek informacji dotyczących wbudowanego w nich złośliwego oprogramowania – klienci, którzy nabyli już ten model smartfona mają możliwość zwrotu pieniędzy za zakupiony towar?

Sprzedawca: Na chwile obecną za pośrednictwem mojej firmy tylko jedna sztuka trafiła do Polski, w związku z zagrożeniem o jakim Państwo piszecie wycofałem ten model z oferty. Klient może zwrócić produkt jeżeli jest faktycznie zainfekowany

Mam STAR N9500 — co robić, jak żyć?

Jeśli nabyliście ten telefon, na wszelki wypadek jak najszybciej przestańcie z niego korzystać i odłączcie go od sieci Wi-Fi oraz GSM, a następnie skasujcie dane, które sie w nim znajdują i zmieńcie hasła do wszelkich kont zdefiniowanych na urządzeniu jak i hasła do serwisów internetowych, do których logowaliście się z poziomy smartphona. Warto także przenalizować m. in. konta bankowe pod kątem jakichkolwiek podejrzanych działań oraz konta pocztowe pod kątem zdefiniowanych filtrów przesyłających kopię poczty przychodzącej na inne adresy e-mail.

Niestety, złośliwego oprogramowania nie da się odinstalować/usunąć, ponieważ jest wbudowane w firmware telefonu. Możecie jednak próbować zwrócić sprzęt do producenta/sprzedawcy.

Sabotaż czy wypadek przy pracy?

Nie wiadomo, czy STAR wypuścił zainfekowanego smartphona świadomie i czy problem dotyczy wszystkich wersji firmware’u (GData nie podaje wersji zainfekowanego firmwareu ani numeru partii producenta). Jedną z hipotez jest przebiegły atak chińskiego producenta, który od początku miał na celu jedynie infekcję użytkowników potęgowaną niską ceną urządzenia i atrakcyjnym wyglądem przypominającym popularny model Samsunga. Ale mogło się też zdarzyć tak, że firmware telefonu na zainfekowany został podmieniony bez wiedzy producenta nieświadomie (wypadek przy pracy) lub świadomie — i incydent ten należy traktować wyłącznie w kategorii sabotażu.

PS. Być może telefon da się wyleczyć flashując go czystym ROM-em, ktoś próbował? Niezastąpione XDA ma wątek poświęcony temu modelowi — ale na razie jest to tylko jailbreak a nie alternatywny firmware. Gdyby dało się podmienić firmware na czysty, wtedy N9500 byłby całkiem tanim telefonem, ale z wysoką barierą wejścia :-)

UPDATE: Paweł Szydłowski w komentarzach pod naszym wpisem na Facebooku dotyczącym tego artykułu informuje, że znalazł MIUI dla tego modelu (ale i na alternatywne buildy trzeba uważać).


Przeczytaj także:

54 komentarzy

Dodaj komentarz
  1. A czy nie można wgrać na niego czysty OS?

    • Można wgrać inny OS, ale skąd 100% pewności, ze ten inny OS jest czysty. Poza tym nowy OS musi idealnie pasować do specyfikacji konkretnego sprzętu a takich niby-S4 może być wiele i każdy z innymi podzespołami w zależności od fabryki, w jakiej powstał. Jednak sprzęt wymagający wgrywania OS-a jest ofertą dla developerów, którzy przy okazji mają pretekst do testowania softu w takim sprzęcie (niektórzy mogą przy okazji zacząć przygodę usera od strony bardziej profesjonalnej, łącznie z modyfikowaniem Androida). Natomiast na pewno zwykły user, który nie zamierza testować Androida z rozmaitych kuchni, bo się na tym zwyczajnie nie zna, boi się zepsuć sprzęt i boi się wiarygodności romów z forum (bo trzeba się najpierw upewnić, czy upatrzony rom na pewno jest czysty) powinien się od czegoś takiego trzymać z daleka (pomijając, że sprzęt pokroju Star N9500 ordynarnie udaje Galaxy S4, podobnie rzecz się ma z niby-ifonami czy kilka lat temu niby-nokiami).

    • ” boi się wiarygodności romów”
      A kto by sie nie bał?

      “trzeba się najpierw upewnić, czy upatrzony rom na pewno jest czysty”
      Ojjj takiego to ze swieca szukac. Raczej sie nie uda!

    • Kto zapłacił GDATA za odstrzelenie tańszej względem zachodnich producentów konkurencji?
      Co to za “informacja”, gdzie podaje się tylko model telefonu bez danych zwyczajowo przedstawianych w analogicznych przypadkach (nr partii, wersja fw, etc.)?
      czy producent podjął jakieś kroki prawne przeciwko GDATA i portali publikujących tą “informację”?

    • a jaki problem wgrac sobie cyanogenmod 11
      Hardware : MT6589
      Model : STAR N9500
      Build number : N9500 CM11

      http://www.patrucco.com/mtk6589/

  2. Ach ci Chińczycy, ale z nich… wizjonerzy ;-)

  3. Jest sporo zamiennych romów tak więc da się go wyleczyć ;)

    http://www.needrom.com/phone-roms/star/serial-n/n9500/

  4. http://forum.xda-developers.com/showthread.php?t=2571160 <- pierwszy z brzegu wyszukany ROM do tego telefonu, a jest na pewno więcej. Da radę zrobić z tego dobrego i taniego smartfona ;)

  5. Genialny pomysł na biznes. Pozazdrościć ;-)

  6. Pytanie-zagadka: czy każdy taki telefon jest zainfekowany czy po prostu G Data trafiła na jeden taki egzemplarz ? No i jaka była wersja ROMu w tym telefonie ?
    Nie wiem czy od razu można zakładać, że zainfekowane są WSZYSTKIE egzemplarze.

    Strzelam, że to po prostu jakaś partia telefonów, która po wyjściu z fabryki została przerobiona i dalej odsprzedana po niższej cenie (żeby szybciej zeszły).

    PS. Te aukcje na Allegro to nic innego jak pośrednictwo w zamówieniu telefonów z Chin. Raz na ruski rok trafi się sprzedawca, który faktycznie ściągnie telefony i wyśle je z Polski.

  7. A root? Być może Kingo by sobie poradził

    • A jaką masz pewność, że Kingo nie zainstaluje swojego trojana :)?

    • Właśnie podobno Kingo też pobierał jakieś dane jak już miał roota i wysyłał do twórców…

  8. Pare sztuk już poszło,

    http://allegro.pl/telefony-komorkowe-165 closed=1&order=qd&string=N+9500&search_scope=closed

  9. “sptrzedawca” na allegro to taki sprzedawca, że tylko adres kupującego wpisuje na ali i czekaj sobie miesiąc na telefon i jeszcze na vat się załap:p
    A zainfekowany rom to po prostu chińczyk przed wysyłką w pośpiechu ściągnął z chinskiego chomika rom który z 512mb ramu wyświetla 2gb i wgrał. Można poprosić chińczyka o dowolny rom, tutaj mu nie wyszło, tymbardziej, że to podróbka s3.

    • Nie rozumiem dlaczego Allegro toleruje takich pośredników

    • Jest popyt, jest podaż :)

  10. Co za bzdury? Jak to się nie da usunąć? Root, odnalezienie plików APK które syfią i ich usunięcie. Nie ma opcji żeby tego się nie pozbyć. A jak nie to znalezienie alternatywnego softu który nie ma fabrycznego dodatku.
    I robicie wielką sensację a tak naprawdę może to dotyczyć bardzo niewielkiej partii tego modelu. Większość chińczyków mimo że wygląda identycznie to jest robiona przez kilkanaście rożnych fabryczek i te telefony diametralnie różnią się we wnętrzu i software.
    Poza tym to nie pierwsza taka akcja chińskich “producentów”. Większość bezsystemowców po kilku miesiącach od kupienia nie nadaje się do użytku bo właśnie zaczyna rozsyłać różne dziwne SMSy na chińskie numery (raporty z działania do fabryki? reklamy produktów do innych użytkowników? nie doszli do tego). Jedynym rozwiązaniem jest w zasadzie zaprzestanie użytkowania tego bo nawet software nie idzie znaleźć. Przez znaczne różnice sprzętowe dwa telefony o takim samym wyglądzie nie pozwala przeszczepić oprogramowania z jednego do drugiego. Tutaj jest o tyle lepiej że z Androida spokojnie da się wyciąć “zbędne” oprogramowanie ;)

    • Wykopki chyba nie czytają własnych postów

      >”A jak nie to znalezienie alternatywnego softu który nie ma fabrycznego dodatku.”

      >”Jedynym rozwiązaniem jest w zasadzie zaprzestanie użytkowania tego bo nawet software nie idzie znaleźć. Przez znaczne różnice sprzętowe dwa telefony o takim samym wyglądzie nie pozwala przeszczepić oprogramowania z jednego do drugiego.”

    • wydaje mi sie, ze on mowil o telefonach bez andka, a potem porownal do tych androidowych
      no i wg mnie ma racje, android jest na tyle otwarty, ze spokojnie mozna usunac modyfikacje
      a jak.nawet nie.chcwsz zmieniac romu, to.wgrywasz recovery, robisz backup softu, backup edytujesz (to zwykle zipy) i wrzucasz spowrotem – przy okazji masz punkt do ktorego mozesz wrocic

  11. Jak czytam po forach to cacy telefon. Wszyscy chwalą ;)

    Jak szybko szukający informacji o tym telefonie dostaną w TOP1 artykuł z niebezpiecznika? Test rozpoczęty:http://panel.seo-stat.pl/klient/zestaw.aspx?z=0c07e2eb-5b9e-4feb-98c5-1f969b11676d&hash=FF5D1F8AA3FEAF664B71FF6E4266E2F0

  12. Podszywa się pod Google Play Store … i wysyła informacje, rozmowy, obraz z kamerki i dźwięk z mikrofonu na serwery w Chinach zamiast na serwery Google? Z poziomu użytkownika to żadna róźnica

    • Baaardzo trafne spostrzezenie :)

  13. szacun za odpowiedz sprzedawcy, wow!

  14. http://www.needrom.com/phone-roms/star/serial-n/n9500/
    sznurek do romów

  15. Mam taki telefon, bardzo podobnie wygląda i avast znalazł w nim trojana w apce do home launcher-a. Większość popularnych aplikacji do root-owania nie działała ale znalazł się chiński program, któremu się to udało. Ale ciekawostka – wprowadził on własne oprogramowanie, które avast uznał za niebezpieczne :) Doinstalowałem zatem popularny pakiet su, nadałem mu prawa root-a i odinstalowałem ten chiński – trochę się bronił, ale się udało. Wywaliłem masę wbudowanych aplikacji (w tym home launcher-a) i avast w końcu zamilkł z alertami. Czy to wystarczy – chętnie poznam Pana szczegóły techniczne opisanego powyżej przypadku, bo faktycznie troszkę tak strasząco brzmi artek a przydały by się detale techniczne.

  16. Jesli ktos chce sie bawic moge mu udostepnic ten telefon do prob.

  17. A ja myślałem nad kupnem chińczyka, taniej, duży ekran.
    Teraz to po takim zakupie wgrałbym nowy ROM. Tylko skąd pewność, że ten nowy będzie czysty? Chyba tylko większa szansa, ale pewności nie ma.

  18. Dopłaćcie drugie tyle i będziecie mieli Xiaomi MI3, który zjada parametrami wiele innych smartfonów czołowych producentów z dostępem do ciągle poprawianego softu od miuipolska

  19. Myślę ,że twierdzenie o fabrycznym trojanie może być trochę naciągane i warto o tym napisać w artykule.
    Tego typu smartphony sprzedawane na rynku chińskim posiadają fabryczny soft z językiem chińskim (no ,może jeszcze angielskim). Sprzedawcy z serwisów typu aliexpress wgrywają do fabrycznie nowych telefonów soft z dodanymi językami. Dlatego nie można tak pewnie twierdzić ,że to fabryczny soft jest zakażony (prawdopodobnie nie). Po prostu wielu ludzi kupując nowy telefon sądzi ,że nie był skalany ludzką ręką, ale nie jest to prawda.

  20. http://www.amazon.com/Generic-Star-N9500-Android-MTK6589/dp/B00C3UYRYA

    jestem ciekaw ile sprzedali …

  21. Niezłą reklamę zrobiliście temu smartphonu. Serio! :)

  22. A co na to producent telefonu? Czy ‘bezpiecznik’ próbował kontaktu?

    • Nie próbowałem kontaktu do producenta (tj. firmy STAR).

      Zdecydowanie priorytetem, był kontakt do jednego z pierwszych sprzedawców na Allegro – w celu zaprzestania dystrybucji tego telefonu w Polsce ewentualnie dodania stosownej informacji w ofercie :-)

  23. Telefon miałem w ręcę, ale niesetty juz wgrałem inny Rom i teraz nie mam tego badziwia :P
    A co do chińskich telefonów to w stosunku jakość do cena to są zdecydowanie lepsze od wszytskich gównien typu samsung, lg itp.
    Sam od kilku lat uzywam tylko Chińskich telefonów bo bez sensu płacić 3x więcej za logo samsunga np :P

  24. A mnie to dodatkowo zachęca.. jeżeli po testech G data wiadomo że nie ma sprzętowego trojana i że po zmianie romu będzie hulać.. :P

  25. […] Niebezpiecznik.pl dotarł do niezwykle ciekawej informacji. Okazuje się, że sprzedawany między innymi w Polsce […]

  26. Mam tylko niezły ubaw jak z mojego otoczenia ludzie napalaja się na takie chińskie gówna :D nie dawno na allegro podajrze byla S4 Była w sredniej cenie tylko po zakupie i włączeniu go telefon mozna było wsadzić sobie go w buty ;D

  27. Kto może wiedzieć, co się czai w custom romach, które krążą po różnych forach w setkach wersji, przeróbek. Ludzie ściągają to bezrefleksyjnie, podobnie jak apk z nieoficjalnych sklepów, nawet nie zdają sobie sprawy na co się narażają. Już chyba lepiej jeśli prywatne dane trafią do służb czy korporacji niż do pospolitych przestępców.

    • Czyli lepiej, żeby prywatne dane trafiły do pospolitych przestępców niż do pospolitych przestępców?

    • Czy NSA okradnie Ci kartę kredytową? Zainstaluje trojana wysyłającego smsy premium?

  28. Tylko nikt się nie zastanawia nad jednym. Że o ile sobie już pozwalają na trojany w firmware to co za problem zaszyć trojana w jakimś układzie do którego dostęp jest w zasadzie niemożliwy.

    Ludzkość sama sobie zakłada sznur na szyję poprzez łaknienie zabawek charakterystycznych dla współczesnego świata. A wielu zwyczajnie ich nie potrzebuje. Moda, szpan, a przy każdym zakupie oddają kawałek swojej prywatności i życia. Przypomina to sytuację z gotowaniem żaby powoli, powoli, zanim żaba się zorientuje już jest ugotowana.
    Tak samo jest z narzucaniem technologicznych kajdan.

    I tak naprawdę bez znaczenia jest czy to Chińszczyzna czy nie, wiele obecnie topowych marek miało tego samego typu wpadki. Jak to się ma do zaufania względem producentów? Tłumaczycie sobie, że to Chińszczyzna, zakładając, że jak coś chińszczyzną nie jest to jest bezpieczne. Nic bardziej mylnego.

  29. miui nie lepsze od tego zainfekowanego fabrycznie ;-)

  30. Jestem totalnym laikiem, a chciałbym sprawdzić czy np. kupiony przeze mnie telefon nie jest zainfekowany. Przyszedł mi do głowy taki sposób:
    1. Robię swoje “wi-fi” siecią otwartą (pomińmy bezpieczeństwo tworzenia otwartej sieci)
    2. Uruchamiam aircrack-ng i sniffuje pakiety uruchamiając wi-fi w telefonie (przez jakiś tydzień).
    3. Pierwsza rzecz jaką bym sprawdził, to czy w przechwyconych pakietach pojawił się jakiś nowy adres ip (typu 192.168.1.*), oprócz mojego telefonu.
    4. Porównuje adresy (zewnętrzne- przepraszam za złe nazewnictwo, ale jak pisałem jestem laikiem)przechwyconych pakietów z logami aplikacji Networklog.
    5. Jeśli adresy przechwycone przez aircrack-ng zgadzają się z tymi z logów Networkloga i w przechwyconych pakietach (punkt 3) nie pojawia się nowy adres, to znaczy, że nie mam trojana sprzętowego- dobrze myślę?
    6. Z analizą pakietów może być problem, bo mogą być one zaszyfrowane, mam rację?
    7. Instaluje Afwall+ oraz Xprivacy i ograniczam ruch wychodzący dla większości aplikacji, ale np zostawiam dostęp dla sklepu play. Do aplikacji sklep play również może być doinstalowany jakiś trojan i warto byłoby spróbować przeanalizować pakiety, by sprawdzić, czy nie ma to miejsca- dobrze kombinuję?

    I teraz jeszcze teoretycznie, jeśli zablokuje dostęp do neta wszystkim aplikacjom w Afwall+ i Xprivacy to czy jest możliwość by jednak coś dostęp do neta miało? W jakich przypadkach? Bardzo proszę o odpowiedzi na pytania z puntów 5, 6, 7 i wskazówki w jaki sposób mogę jeszcze sprawdzić swój telefon pod kątem bezpieczeństwa.

  31. Moim zdaniem nie ma pewności ze to telefon wyprodukowany przez STAR, w chinach identycznie wyglądajacą podróbka robi ze sto fabryk, każda z innych części i na innym sofcie.
    A same telefony cieszą się w polce sporym zainteresownaiem co widać na forum http://telchina.pl
    Osobiście sadzę że lepiej kupić markowy chiński telefon a nie kupować podróbki,a te z logo np Sam*ung to już najgorsze dziadostwo.

  32. Czyli trojan robi dokładnie to samo, co Google tylko nie ma tego w warunkach użytkowania…

    • Tylko że Google nie wejdzie ci na konto i nie zrobi przelewu.
      Dodatkowo Google też ci nie wyśle smsa premium.
      A maila nie doda do listy aktywnych maili do spamowania.

  33. Masakra, a brat mnie namawiał na zakup telefonu tej marki.

  34. Co to znaczy, że trojan jest w firmware? Gdzie dokładnie jest? Tłum domaga się szczegółów (technicznych) :) To apk w /system? Jest w kernelu? W radiu? Gdzie?

  35. Jesli mozna zrobic roota to usuniecie tych smieci to kwestia chwili.

  36. Oczywiście, że można. Znajduje się w System/app i nazywa się uuplay.apk i drugi uuairpush.apk tylko próżne dzieci reklamy nie mają kwalifikacji do normalnego rozumowania a w reklamie jeszcze tego nie pokazali…

  37. […] przykład preinstalowanego malware’u. Mieliśmy z nim do czynienia ostatnio w przypadku popularnego telefonu z Androidem, a wcześniej w przypadku aparatów Olympusa, szpiegowskich żelazek czy wręczanych politykom […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: